Пенза, 30 сентября 2019. PenzaNews. DDoS-атаки для нарушения доступности интернет-сервисов компании, халатность персонала при обращении с информацией, утечки конфиденциальных данных — с этими проблемами сталкивается все большее число российских компаний, бизнес-процессы которых уходят в «цифру». Как сделать так, чтобы технологии информационной безопасности успевали за развитием IT-инфраструктуры, но не ложились непосильным бременем на бюджет организации, эксперты «Ростелекома» рассказали на семинаре в Пензе.

Фотография © PenzaNews Купить фотографию

Поскольку число его участников было ограничено, а тема актуальна для многих, постараемся отразить наиболее важные моменты, о которых говорили спикеры.

Лавинообразный рост числа кибератак

Число инцидентов в сфере информационной безопасности ежегодно возрастает в полтора-два раза. Причем речь идет только об известных. Многие остаются незамеченными.

Около 70% сложных атак начинаются с того, что сотруднику компании приходит электронное письмо с вредоносным программным обеспечением во вложении. Злоумышленники знают психологию людей и умело пользуются этим. В итоге человек зачастую не способен противостоять качественному фишингу.

54% всех атак, зафиксированных за последнее время, были целевыми. Это значит, что злоумышленники не просто веерно атаковали компании и смотрели, какие из них окажутся наименее защищенными, а готовили специализированные инструменты, способные обойти систему безопасности конкретной организации.

65% вторжений приводит к полному контролю данных. Вместе с тем их инициаторы могут оставаться незамеченными годами, имея доступ к важной информации и используя ее в своих интересах. Например, быть в курсе следующего шага конкурента на торгах и за счет этого выигрывать ключевые тендеры при госзакупках.

Еще одна цифра, заставляющая задуматься: 100% веб-приложений содержат уязвимости.

Такие данные в ходе семинара привел директор по развитию бизнеса по информационной безопасности макрорегионального филиала «Волга» ПАО «Ростелеком» Алексей Богданов.

Он также обратил внимание на то, что наиболее подвержены кибератакам кредитно-финансовые учреждения, субъекты критической информационной инфраструктуры (КИИ), системы госуправления, сфера электронной коммерции и онлайн-сервисы.

Поиск адекватных ответов на киберугрозы

Осознав риски, бизнес пытается принять меры для обеспечения информационной безопасности. Как правило, закупается оборудование и ПО, прописываются регламенты, но желаемый эффект достигается не всегда. По словам Алексея Богданова, причин несколько.

Во-первых, наряду с расширением парка средств защиты встает проблема управления ими. Имеющиеся в компании специалисты зачастую неспособны справиться с этим в силу загруженности, недостаточности квалификации и других факторов.

Второй момент — киберпреступники наращивают как сложность инструментария, так и темпы его создания. IT-специалисту отдельно взятой организации достаточно проблематично отслеживать, какой арсенал в последнее время используют злоумышленники и какие меры противодействия известны на сегодняшний день.

Еще один аспект, который нельзя игнорировать — необходимость соблюдения новых требований законодательства и отрасли, в частности, приказы ФСБ России и Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

Что предлагают эксперты?

В «Ростелекоме» придерживаются той точки зрения, что информационная безопасность возможна только через непрерывный мониторинг и удобное управление системами ИБ. В связи с этим провайдер предлагает альтернативу традиционному подходу — экосистему управляемых сервисов кибербезопасности, ядром которой является единая платформа сервисов кибербезопасности (ЕПСК).

Как пояснил Алексей Богданов, это облачная платформа, в которой размещаются виртуализованные средства защиты. Схема работы предполагает, что у заказчика устанавливается телекоммуникационное оборудование «Ростелекома» (Customer Premises Equipment, CPE), и передача трафика между CPE и ЕПСК осуществляется по защищенному туннелю.

Такой подход имеет несколько ключевых особенностей. Платформа является вендоронезависимой: провайдер работает с теми, кто в настоящее время востребован на рынке. К тому же возможны гибкие сценарии обслуживания. Заказчик может подключить одну или несколько опций и настроить их с учетом задач и масштаба бизнеса.

Помимо этого, используя возможности ЕПСК, компания получает высокий уровень экспертизы. Контроль информационной безопасности осуществляет высококвалифицированная команда центра Solar JSOC в режиме 24 часа 7 дней в неделю 365 дней в году. На его деятельности стоит остановиться подробнее.

Solar JSOC: мониторинг, реагирование и расследование

Solar JSOC представляет собой коммерческий центр мониторинга и реагирования на инциденты информационной безопасности. Имеет пять филиалов, около сотни крупных клиентов, среди которых — МТС Банк, группа компаний «Содружество», «Тинькофф Банк» и другие.

Центр обрабатывает более 72 млрд. событий в сутки. Среднее время с момента выявления инцидента до принятия его в работу специалистом Solar JSOC составляет 19 минут. В случае с критическими инцидентами аналитическая справка и рекомендации по устранению предоставляются заказчику менее чем за полчаса.

Рассказывая о работе данного центра, Алексей Богданов отдельно остановился на возможности проверить устойчивость конкретной организации к кибератакам.

«Тестирование на проникновение — это, по сути, легальное хакерство, когда вашу компанию за ваши деньги взламывают по договору, чтобы показать, что это возможно и как мы это сделали. За прошлый год не было ни одного случая, чтобы мы не получили учетную запись», — отметил он.

После такого «взлома» заказчику направляются рекомендации относительно того, как повысить защищенность.

Большой опыт работы с различными организациями позволил специалистам накопить багаж знаний, за счет которого реагирование на угрозы происходит в максимально сжатые сроки. К тому же, по словам Алексея Богданова, бывают случаи, когда центру при взаимодействии с определенным заказчиком удается обнаружить совершенно новую кибератаку, с которой еще никто не сталкивался. В такой ситуации не только принимаются меры по ее устранению, но и всем клиентам направляются пояснения, как защититься от нового вида угроз.

Обучить персонал навыкам информационной безопасности

Как уже упоминалось, люди остаются наиболее уязвимым звеном. По данным «Ростелекома», в среднем каждый седьмой пользователь, который регулярно не повышает свою осведомленность в сфере информационной безопасности, поддается на социальную инженерию — открывает зараженный файл или отправляет данные злоумышленникам.

Любопытна статистика по отдельным подразделениям, наиболее подверженным кибератакам: в юридической службе на уловки злоумышленников попадается каждый четвертый сотрудник, в бухгалтерии и отделе логистики — каждый пятый, в секретариате — каждый шестой.

Практика показывает, что обучение основам киберграмотности и регулярная отработка навыков существенно влияют на уровень защищенности организаций.

Провайдер предлагает для этого использовать специальную платформу. Она помогает выявить персонал с недостаточным уровнем знаний, научить сотрудников распознавать фишинговые письма, определять опасные сайты, защищать данные на мобильных устройствах и выбирать безопасные пароли.

Проверка навыков осуществляется с помощью имитирования атак.

Защита КИИ в соответствии со 187-ФЗ

Закон №187 от 26 июля 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации» распространяется на достаточно широкий круг организаций, работающих в сферах здравоохранения, науки, транспорта, связи, энергетики, финансов, в топливно-энергетическом комплексе, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Субъекты критической информационной инфраструктуры обязаны провести категорирование объектов КИИ, обеспечить их безопасность и взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

«На всех этих этапах мы можем помочь», — подчеркнул Алексей Богданов.

Таким образом, каждый субъект КИИ стоит перед выбором: решить данную задачу за счет внутренних ресурсов или привлечь исполнителя, имеющего соответствующий опыт.

Противостоять DDoS-атакам

Угроза DDoS наиболее актуальна для отраслей, в которых критически важные бизнес-процессы зависят от доступности онлайн-сервисов и приложений. В первую очередь это игровой сегмент и электронная коммерция.

По словам руководителя партнерских программ направления anti-DDos компании «Ростелеком» Ивана Мирошниченко, «там, где наблюдается рост бизнеса, обязательно будут атаки».

Он также обозначил несколько тенденций, которые отмечают специалисты. Так, из-за дешевизны и эффективности число DDoS-атак в последнее время значительно увеличилось, и цифры будут только расти.

Кроме того, в 2018 году произошел резкий скачок их мощности. Самая серьезная атака велась с интенсивностью 450 Гбит/с. Провайдер с ней справился, и сайт клиента оставался доступным. Рассказывая об этом случае, Иван Мирошниченко обратил внимание на то, что в подобных ситуациях необходимо принять и обработать трафик, что зачастую не под силу небольшому региональному оператору: скорее всего, в критической ситуации он будет спасать себя и других клиентов.

«У нас есть неоспоримые преимущества перед другими провайдерами anti-DDoS. Самое главное — громадный опыт по реализации таких проектов, в том числе глобальных на уровне государственной инфраструктуры, как то: выборы, Олимпиада в Сочи и так далее», — подчеркнул представитель компании «Ростелеком», добавив, что обработка трафика при этом гарантированно осуществляется на территории России, а это для некоторых заказчиков имеет немаловажное значение.

Перечисляя преимущества сервиса «Anti-DDoS» от «Ростелекома», также входящего в экосистему управлемых сервисов кибербезопасности Solar MSS, Иван Мирошниченко назвал масштабируемость, надежность и доступность. Благодаря многоступенчатой инфраструктуре фильтрации противодействие атакам осуществляется на всех уровнях модели OSI вплоть до L7.

Обеспечить конфиденциальность и целостность информации

Не менее важный аспект в своем выступлении затронул руководитель направления «ГОСТ VPN» компании «Ростелеком» Александр Веселов. Он акцентировал внимание на том, что с учетом масштабов нашей страны перед многими компаниями, имеющими разветвленную филиальную сеть, встает вопрос об обеспечении конфиденциальности и целостности информации, передаваемой через общедоступные каналы связи.

Одновременно каждая организация заинтересована в снижении издержек на персонал, оборудование и устранение последствий атак.

При этом необходимо четко соблюдать требования регулятора. В области криптографии им является ФСБ России.

Александр Веселов обрисовал схему, которая встречается наиболее часто: компания выбирает определенного производителя средств криптографической защиты информации (СКЗИ), покупает оборудование, ставит его на баланс, настраивает, вкладывается в обучение персонала, берет на себя соответствующую бумажную работу. Срок полезного использования СКЗИ в итоге оказывается значительно меньше заявленного, поскольку часть периода действия сертификата соответствия приходится на процесс наладки. Таким образом, через определенный промежуток времени клиенту необходимо вкладываться в новое «железо» и ПО.

В качестве альтернативы «Ростелеком» предлагает сервис по шифрованию каналов связи.

После установки у заказчика СКЗИ эксплуатируются командой квалифицированных специалистов в соответствии с требованиями законодательства и регулятора. Это позволяет гарантировать производительность и отказоустойчивость сервиса, применение актуальных настроек VPN, а также быстрое обнаружение и устранение инцидентов безопасности.

«У «Ростелекома» есть инженеры во всех регионах, и мы можем оказывать поддержку где угодно», — отметил Александр Веселов.

По его словам, провайдер предлагает класс криптографической защиты КС3, возможность выбора вендора СКЗИ, а также единый договор на услуги связи и шифрование каналов.

Контролировать коммуникации сотрудников и предотвращать утечки информации

Один из продуктов кибербезопасности, предлагаемых провайдером, направлен на предотвращение утечек информации и выявление внутреннего мошенничества. Он предполагает контроль хранения, передачи и использование данных в компаниях, выявление «аномалий» в поведении персонала, защиту конфиденциальных сведений, ведение архива коммуникаций между работниками и сбор досье на сотрудников с целью сокращения инцидентов информационной безопасности. О том, как действует Solar Dozor, рассказала ведущий бизнес-аналитик компании «Ростелеком» Ольга Исаева.

Она напомнила, что этот флагманский продукт представлен на рынке достаточно давно. За это время его функционал стал гораздо более широким, чем у классической DLP-системы. К примеру, в отличие от аналогов, Solar Dozor не генерирует колоссальный объем уведомлений о потенциальных нарушениях, многие из которых в действительности не несут вреда. В результате специалист по безопасности концентрируется на реальных угрозах выхода конфиденциальных данных за периметр корпоративной сети и не отвлекается на ложноположительные срабатывания.

Мониторинг ведется по принципу: человек в центре внимания.

По словам Ольги Исаевой, этот продукт может стать хорошим подспорьем для кадровой службы предприятия или отдела экономической безопасности. Solar Dozor отслеживает нежелательные контакты внутри компании, например, между сотрудником отдела закупок и специалистом, который должен контролировать его деятельность. В этом случае работодатель будет проинформирован о риске сговора.

При наличии фактов корпоративного мошенничества собранные в автоматическом режиме данные могут использоваться в качестве доказательств в суде. Также это решение позволяет выявлять тревожные сигналы в изменении поведения сотрудника.

Контролировать доступ к веб-ресурсам

В продолжение темы внутренних угроз Ольга Исаева рассказала о шлюзе веб-безопасности Solar webProxy — продукте, который развивался как модуль DLP-системы, но со временем расширенная функциональность позволила выделить его в отдельный продукт.

Solar webProxy позволяет прозрачно и гибко контролировать доступ к веб-ресурсам — отслеживать, какие сайты посещают сотрудники, как они осуществляют доступ в интернет, на что тратят основное время, а также кто из персонала потребляет больше всего трафика.

Предусмотрена защита от вредоносного программного обеспечения и рекламы, а также доступна интеграция с Solar Dozor.

Зачем тратиться на информационную безопасность?

Каждый из экспертов, выступивших на семинаре в Пензе, затрагивал финансовый аспект обеспечения информационной безопасности. При этом все они обращали внимание, что нет необходимости защищаться от всего подряд и сразу.

Следует определиться, нужна защита от внешних угроз или, скорее, от внутренних, ущерб бизнесу могут нанести хакеры или для организации критичны утечки информации.

Если оценить риски самостоятельно затруднительно, можно обратиться к профессионалам. К тому же большинство предлагаемых решений предусматривают гибкую настройку в соответствии с потребностями клиента. Следовательно, есть возможность избежать неоправданных расходов.

Как отметил директор Пензенского филиала ПАО «Ростелеком» Лев Дятлов, когда то или иное предприятие принимает решение о выборе технологий защиты информации, оно должно осознавать ценность данных.

«Здесь нужно отталкиваться, на мой взгляд, от того потенциального ущерба, который может понести организация, если вдруг эта информация уйдет куда-то на сторону», — пояснил он.

Сквозной мыслью прошедшего в Пензе семинара было то, что ключевые процессы бизнеса сегодня перетекают не в «бумагу», не в «железо», а в «цифру». И именно поэтому безопасность должна обеспечиваться там же.

Светлана Полосина